Персональные данные

Определения, закреплённые в различных документах, составляющих правовую основу защиты персональных данных, в целом совпадают, однако уровень детализации может разниться.

Статья 4 Общего регламента по защите данных (GDPR) определяет персональные данные как

. Это определение подробней, чем приведённое ранее в статье 2 Директивы 95/46/ЕС, где подчёркивалось, что лицо становится идентифицируемым

^[4].

Закон "Информатика и свободы" не содержит собственного определения персональных данных, в этой сфере применяется определение из статьи 4 GDPR.

В соответствии со ст. 2 закона (действовавшей до 25 мая 2018), персональные данные понимались как

. Закон добавлял, что

.

Первоначальная редакция закона 1978 года^[1] оперировала понятием «именные сведения», то есть данные, позволяющие «давать определение профилю или личности субъекта» (статья 2), и которые «позволяют каким бы то ни было способом прямо или косвенно установить личность физических лиц, к которым они относятся» (статья 4).

Конвенция №108 Совета Европы определяет персональные данные в статье 2 как «любую информацию, относящуюся к идентифицированному или поддающемуся идентификации физическому лицу».

Понятие персональных данных трактуется широко и национальными судами и надзорными органами^[5].

Персональными данными считаются любые сведения о физическом лице, которое идентифицировано или может быть идентифицировано прямо или косвенно с помощью одного или нескольких идентификаторов: — напрямую идентифицирующих данных (имя, фамилия, фотография лица), — косвенно идентифицирующих данных (дата и место рождения, адрес проживания, электронная почта, псевдоним, уникальный референсный номер, код псевдоанонимизации, номер телефона). Эти данные могут быть сопоставлены с другими сведениями для установления личности. IP-адрес также считается персональными данными, как статический, так и динамический^[6], поскольку позволяет отслеживать поведение пользователя в интернете и формировать детализированные профили для таргетированной рекламы.

Данные могут быть объективными (например, группа крови, номер социального страхования, банковской карты) или субъективными (мнения, замечания в блокнотных полях программ для управления клиентами), которые не обязательно должны быть достоверными.

Данные не обязательно представляют собой структурированную информацию или находиться в базе данных. Они могут быть неиспользуемыми для владельца.

Формат также не имеет значения: это могут быть изображения (фото, рисунки), видеозаписи (например, с камер наблюдения), звукозаписи (голосовые образцы), а также части тела (отпечаток пальца, сетчатка, вены).

Персональные данные могут относиться исключительно к физическим лицам; информация о юридических лицах не регулируется законодательством о персональных данных. Тем не менее, такие реестры, как торговый реестр Франции, содержат массу персональных данных руководителей, и в некоторых случаях законодательство о данных сочетается с иными нормами, которые могут ограничивать, например, право на удаление или доступ к данным.

Данные о пассажирах (Passenger Name Record, PNR) — это данные, отражающие детали путешествия для лиц, путешествующих группой. CNIL и её европейские коллеги (группа G29) считают, что обмен этими данными между государствами и способ их использования создаёт риски для частной жизни, особенно при передаче в страны, такие как США, где уровень защиты ниже, чем в ЕС. В 2007 году группа G29 высказалась:

^[7]. В апреле 2012 года Европарламент согласовал предоставление властям США права хранить данные о европейских авиапассажирах^[8]. В 2016 году принята Директива по данным о пассажирах ЕС^[9].

См. также: Медицинское право, Медицинские данные

Медицинские данные, особенно именные, считаются «особыми категориями данных» в соответствии с GDPR и французским законом. Они могут обрабатываться только в строго определённых законом случаях, например, при ведении медицинской карты. Доклад Бабюзьо (2003) рекомендовал передавать их органам соцстраха и страховщикам после анонимизации^[10]. Некоторая часть врачей выступила против информатизации медицинских карт, настаивая на приоритете охраны медицинской тайны^[11]. Закон от 13 августа 2004 года учредил Институт медицинских данных во Франции, обеспечивающий аналитику и анонимизацию данных для госорганов, профобъединений и страховых компаний^[12].

Во Франции на рубеже 1990-х секретарь по здравоохранению Бернар Кушнер предложил обязать анонимно декларировать все случаи ВИЧ/СПИДа. Ассоциации по борьбе с ВИЧ поддержали инициативу при условии обеспечения анонимности данных^[13].

Ряд экспертов (например, Жан-Батист Брюне из Европейского центра мониторинга СПИДа) поддержали эту меру, в то время как Национальный совет по СПИДу указывал на риски для индивидуальных свобод и сомневался в эффективности обязательных мер. В 1999 году был издан декрет о введении обязательной анонимной декларации ОВИЧ в рамках закона о санитарном контроле^[14].

См. также: Биометрические данные, Биометрия

Биометрия — это технология идентификации, заключающаяся в переводе морфологических или поведенческих характеристик в цифровой образ. Цель — засвидетельствовать уникальность человека на основе неизменяемых особенностей тела^[15]. GDPR определяет их как «персональные данные, получаемые специальной технической обработкой, связанные с физическими, физиологическими или поведенческими признаками, позволяющими однозначно идентифицировать лицо — например, фото лица, отпечатки пальцев» (ст. 4(14)).

Идентификационные признаки должны быть уникальными, универсальными, постоянными и измеримыми^[16]. К ним относятся отпечатки пальца, форма руки, рисунок сетчатки и радужки, венозная сеть, геометрия лица, вплоть до ДНК.

Крупнейшая государственная система цифровой идентификации — индийская Aadhaar — также основана на биометрии, но вызвала опасения по поводу нарушения прав и свобод^[17][18]. Система используется для социальной поддержки, но привела к дискриминации маргинальных групп и утечкам больших объёмов данных, создав почву для злоупотреблений и нарушения приватности граждан^[19].

Во Франции обработка биометрических данных регулируется с 2004 года и требует разрешения CNIL. GDPR относит их к «особым категориям персональных данных», обработка которых, как правило, запрещена (статья 9).

Персональные данные иногда ошибочно называют «чувствительными», что создаёт путаницу с особыми категориями данных (например, расовая, этническая принадлежность, взгляды, здоровье, сексуальная жизнь/ориентация), а с введением GDPR — также и с генетическими и биометрическими данными. Другим примером ошибки является термин «приватные данные» (частные данные), поскольку персональные данные могут стать доступными общественности, но не перестают быть защищёнными. Защита персональных данных и право на частную жизнь — не тождественные, но сопряжённые категории.

В современном обществе, с развитием интернета и социальных сетей, грань между личным и публичным стирается: пользователи сами размещают персональные сведения на своих страницах, принимая осознанные и неосознанные решения о доступе к ним. Даже став общедоступными, такие сведения сохраняют статус персональных данных. Подобная тенденция не отменяет права на частную жизнь, а лишь меняет механизмы и мотивацию управлением «капиталом» в соцсетях. В социальных сетях пользователь волен регулировать глубину раскрытия информации для разных групп. С точки зрения социолога Антонио Казилли, персональные данные в этом случае — это «сигналы», транслируемые окружающим и получающие отклик в виде комментариев/действий^[20].

В Европе данные, прошедшие анонимизацию, более не считаются персональными. Как указано в п. 26 преамбулы GDPR,

.

Следует различать «реально анонимные» и «псевдоанонимизированные» данные (с использованием приватного кода), которые широко используются, например, в медицинских исследованиях. Псевдоанонимизированные данные остаются персональными и подпадают под требования закона.

Коллекция персональных данных, даже с последующей немедленной анонимизацией, относится к обработке данных и подпадает под действие законодательства.

Некоторые исследования показали, что анонимизация не всегда надёжна: например, медицинские данные госслужащих Массачусетса были деанонимизированы путём сопоставления с избирательными списками^[21]. Эффективность анонимизации снижается с уменьшением размера выборки.

Исследование MIT показало, что четыре геолокационных точки способны идентифицировать 95% пользователей при размере базы 1,5 млн человек^[22].

Это метаданные, связанные с сетевым соединением. Они позволяют определять устройства (телефоны, компьютеры) и фиксировать факты подключения к сетям и сервисам; содержат техническую информацию о маршрутизации, идентификации и аутентификации пользователей, сведения о терминалах и программном обеспечении^[23].

Согласно французскому законодательству (см. изменённую статью R851-5-I Кодекса внутренней безопасности), данные соединения не включают содержимое переписки или сведения о просмотренном контенте (решение Конституционного совета Франции по запросу Quadrature du Net и др.).

Сотрудники спецслужб могут использовать систему «обязательных перехватов» (IOL) для автоматизированного наблюдения в интернете во Франции. Система долгое время оставалась секретной^[24][25].

Персональные данные обладают значительным экономическим потенциалом и рассматриваются как нематериальный актив компаний, лежащий в основе «экономики данных»^[26]. Многие бизнес-модели построены на предоставлении бесплатных сервисов в обмен на данные пользователей для маркетинговой персонализации и таргетинга^[27].

Резонансные скандалы (в частности, с Facebook-Cambridge Analytica) выявили использование персональных данных в политических целях для манипуляции электората.

Государственные и муниципальные органы могут публиковать анонимизированные персональные данные в общественных интересах в рамках политики открытых данных.

Использование персональных данных затрагивает индивидуальные интересы, право на личную и семейную жизнь, гарантированное Европейской конвенцией по правам человека (ст. 8), Хартией ЕС о правах человека (ст. 7), французским Гражданским кодексом.

В ряде случаев права субъектов данных конфликтуют со свободой выражения и правом на информацию, например, в ходе реализации права на забвение.

Утечки персональных данных возникают как по вине внешних злоумышленников, так и в результате действий их владельцев. В августе 2014 года пользователь Gmail был передан Google властям США из-за пересылки фотографии противоправного содержания^[28]. В условиях пользования «Гуглом» прямо указано:

^[29].

Хотя никто не оспаривает оправданность такого действия, ситуация ставит вопрос о масштабах контроля. В то же время статья 29 CNIL утверждает: «Доступ к персональным данным в целях безопасности недопустим в демократическом обществе, если он тотальный и ничем не ограничен. Сбор, доступ и использование данных государственными органами должны быть строго необходимыми, пропорциональными и сопровождаться подлинными и эффективными гарантиями»^[30].

См. также: Директива 95/46/ЕС о защите персональных данных, Общий регламент по защите данных, Закон о вычислительной технике, файлах и свободах

Первый закон о защите именных автоматизированных данных был принят в земле Гессен в 1970 году^[31], в Швеции нацзакон был введён в 1973 году^[32].

Статья 1 французского закона провозглашает: «Каждый имеет право решать и контролировать использование своих персональных данных». Закон и международные акты закрепляют за оператором обязанность соблюдать права субъектов данных и принципы ответственности обработки, а субъектам предоставляют средства управления своими данными.

С 2012 года и последующей последовательности нормативных актов в КНР система регулирования персональных данных развивалась по образцу GDPR^[33]. Закон требует явного согласия на обработку, ограничения по объёму и сроку хранения, строгий контроль трансграничных передач. Однако право на забвение отсутствует, подавляющее большинство регулирования и контролирующих функций концентрируются у государства и профильных ведомств^[34].

Персональные данные могут быть проданы, если субъект явно не выразил несогласия. Такой подход реализуется, например, к данным расчетных программ^[35].

Действующее французское законодательство основано на законе 1978 года, который был приведён в соответствие с Директивой 95/46/ЕС. 25 мая 2018 года во всех странах ЕС вступил в силу GDPR, прямо применимый во Франции. Закон 2018 года адаптировал национальное регулирование к новому регламенту^[36].

Основные принципы:

• Законность сбора и обработки
• Целевое и легитимное ограничение целей
• Минимизация объёма собираемых данных
• Точность данных
• Ограничение срока хранения
• Безопасность и конфиденциальность

Субъекты данных имеют право на информацию, исправление и удаление, возражение и ограничение обработки, право на перенос данных («дата-портируемость»).

Федеральный закон Швейцарии о защите данных (от 19 июня 1992 года) предусматривает строгую защиту частной жизни и практически полностью запрещает неавторизованную обработку данных^[37]. Ключевые требования:

• обработка при добросовестности и пропорциональности;
• обработка только по заявленным целям;
• при необходимости согласия — оно должно быть получено добровольно и информировано.

Любое лицо может письменно потребовать у организации исправления или удаления данных за 30 дней^[38]. За отраслью наблюдает Федеральный уполномоченный по защите данных и прозрачности^[39].

Национальная комиссия по информатике и свободам (CNIL) — независимый административный орган Франции, отвечающий за соблюдение закона об информатике и свободах и защите персональных данных: она консультирует операторов, информирует граждан о правах, рассматривает жалобы и имеет полномочия накладывать санкции.

Цифровая целостность — новая правовая концепция, обеспечивающая право на информационное самоопределение; она рассматривается как часть фундаментальных прав личности и оправдание всех цифровых прав, включая защиту персональных данных.

Методы сбора данных чрезвычайно разнообразны: от заполнения онлайн-форм до автоматического сбора маршрутов, геолокации, истории посещений сайтов, коммуникаций в сетях и пр. Использование данных происходит и государством, и частными компаниями, и самими пользователями (например, в соцсетях, при поиске информации), в том числе для таргетирования рекламы, массовых рассылок (спам), учёта в государственных целях^[40][41].

В 2014 году Пьер Белланже предложил концепцию «права собственности» на цифровой след, с обязательным применением европейского права и обложением экспорта данных налогом («дата-кс») для компаний из-за пределов ЕС^[41][42].

Ассоциация франкоязычных органов по защите данных (AFAPDP) отвергает идею появление такого права: «Персональные данные — это неотъемлемая составляющая человеческой личности, субъект которой обладает неотчуждаемыми правами». Эта резолюция рекомендована CNIL и принята в 2018 году^[43].

Разглашение и утечки персональных данных — нарушение безопасности и конфиденциальности, способное привести к серьёзным последствиям для лиц. Примеры:

• Dropbox: более 68 млн учётных данных скомпрометированы (2016).

• Myspace: продажи 427 млн паролей из взломанных аккаунтов.

• LinkedIn: выставлены на продажу более 100 млн паролей (взлом — 2012, массовая продажа — 2016).

• Ebay: в 2014 похищены данные 145 млн клиентов (нефинансовая информация).

• Domino's Pizza: после отказа заплатить выкуп за 30 000 евро, опубликованы данные 650 000 клиентов во Франции и Бельгии.

• Европейский центральный банк: компрометация 20 000 адресов e-mail и телефонов клиентов (2014).

• Orange: утечка данных 1,3 млн клиентов (2014).

• Facebook: обмен персональными данными с 60 производителями телефонов; подтвержденные утечки — 540 млн пользователей в апреле 2019^[44] и 267 млн в декабре 2019^[45].

• Clearview AI: многочисленные расследования и судебные иски за сбор миллиардов персональных изображений и нарушение приватности^[46][47].

• IQVIA: американская компания, сотрудничающая с 14 000 аптек Франции, собирает и анализирует медицинские данные. CNIL начал проверку легальности^[48].

• Doctolib: сервис онлайн-записи к врачу использует серверы Amazon Web Services, доступ к которым возможен для властей США по CLOUD Act. Это вызвало опасения по поводу полного соответствия требованиям GDPR^[49].

• Полиция Франции якобы с 2015 года пользуется израильским ПО Briefcam для распознавания лиц и номеров автомобилей без уведомления CNIL, что стало предметом расследования министерства МВД Франции^[50].